Miteru: Detección de Kits de Phishing Experimental

Miteru es una herramienta experimental de detección de phishing.

Cómo Funciona

Recoge URLs phishy de las siguientes feeds:

• CertStream-Suspicious feed via urlscan.io
• OpenPhish feed via urlscan.io
• PhishTank feed via urlscan.io
• URLhaus feed via urlscan.io
• urlscan.io phish feed (disponible para usuarios Pro)
• Ayashige feed
• Phishing Database feed
• PhishStats feed

Comprueba cada URL phishy si habilita el listado de directorios y contiene un kit de phishing (archivo comprimido) o no.

Nota: archivo comprimido = *.zip, *.rar, *.7z, *.tar y *.gz.

Características

• Detección y recolección de kit de phishing.
• Notificación Slack.
• Threading.

Instalación

gem install miteru

Uso

$ miteru
Commands:
miteru execute # Execute the crawler
miteru help [COMMAND] # Describe available commands or one specific command

$ miteru help execute
 Usage: miteru execute 

Options:
 [--auto-download], [--no-auto-download] # Enable or disable auto-download of phishing kits
 [--ayashige], [--no-ayashige] # Enable or disable ayashige(ninoseki/ayashige) feed
 [--directory-traveling], [--no-directory-traveling] # Enable or disable directory traveling
 [--download-to=DOWNLOAD_TO] # Directory to download file(s) # Default: /tmp
 [--post-to-slack], [--no-post-to-slack] # Post a message to Slack if it detects a phishing kit
 [--size=N] # Number of urlscan.io's results. (Max: 10,000) # Default: 100
 [--threads=N] # Number of threads to use
 [--verbose], [--no-verbose] # Default: true 

Execute the crawler

$ miteru execute ... 
https://dummy1.com: it doesn't contain a phishing kit. 
https://dummy2.com: it doesn't contain a phishing kit. 
https://dummy3.com: it doesn't contain a phishing kit. 
https://dummy4.com: it might contain a phishing kit (dummy.zip).

Usando Docker (alternativa si no instalas Ruby)

$ docker pull ninoseki/miteru 
# ex. auto-download detected phishing kit(s) into host machines's /tmp directory 
$ docker run --rm -v /tmp:/tmp ninoseki/miteru execute --auto-download

Configuración

Para usar la función –post-to-slack, debes establecer las siguientes variables de entorno:

• SLACK_WEBHOOK_URL: Tu URL de Slack Webhook.
• SLACK_CHANNEL: Canal de Slack para publicar un mensaje (por defecto: “#general”).

Si eres un usuario de urlscan.io Pro, establece tu clave de API como una variable de entorno URLSCAN_API_KEY.

Esto te permite suscribirse al feed de phish de urlscan.io.

Ejemplos

Aasciinema

Notificación Slack

Alternativas

• t4d/StalkPhish
• duo-labs/phish-collect
• leunammejii/analyst_arsenal

Dark Mode

miteru (este enlace se abre en una nueva ventana) por ninoseki (este enlace se abre en una nueva ventana)

A phishing kit collector for scavengers

21 suscriptores 190 observadores 34 forks Echa un vistazo a este repositorio en GitHub.com (este enlace se abre en una nueva ventana)